Tallado de archivos y recuperación de datos

El proceso de recuperar datos inaccesibles, formateados o dañados o corruptos de un medio de almacenamiento cuando no es accesible a través de métodos normales se llama Recuperación de datos. Por lo general, la información se recupera de los medios de almacenamiento; por ejemplo, discos duros internos y externos (HDD); unidades de estado sólido (SSD); unidades flash; almacenamiento magnético, como CD y DVD; Subsistemas RAID; y otros aparatos electrónicos. La recuperación podría ser necesaria debido a un daño físico a los dispositivos de almacenamiento o un daño legítimo al sistema de archivos, lo que impide que el sistema operativo (SO) del host monte el sistema. Un objetivo definitivo es duplicar todos los registros fundamentales de los medios dañados en una nueva unidad. Es posible hacer una copia de seguridad de la información rápidamente utilizando un Live CD o DVD, iniciando legítimamente desde la ROM, en lugar de usar la unidad o dispositivo dañado para obtener información del sistema.

Los Live CD o DVD ofrecen una forma de iniciar la unidad del sistema, así como la unidad de medios extraíble o fija, lo que le permite utilizar el administrador de archivos o el software para cargar el archivo. Un servidor de disco puede dañar estos casos y almacenar archivos de datos valiosos o patentados en compartimentos separados en los archivos del sistema operativo.

Tallado de archivos es un procedimiento utilizado en la investigación de la escena del crimen en PC para extraer información de un disco duro u otros dispositivos de almacenamiento sin la ayuda de la tabla del sistema de archivos que creó el archivo original en primer lugar. File Carving es una estrategia que asume el control de los documentos en un espacio no asignado sin datos y se utiliza para recuperar información para realizar un examen clínico computarizado. Este proceso se llamó inicialmente "diseño", que es un término general para eliminar información organizada de la información cruda, a la luz de los atributos particulares del patrón de organización de la información almacenada.

Un método forense que recupera documentos depende de la estructura y el contenido de los archivos sin los metadatos adecuados del sistema de archivos. La talla de archivos le permite recuperar archivos del espacio no asignado en cualquier unidad. El área de la unidad indicada por la estructura del sistema de archivos (tabla de archivos) que no contiene ninguna información del sistema de archivos se denomina espacio no asignado.

Las estructuras del sistema de archivos faltantes o dañadas pueden afectar a toda la unidad. En pocas palabras, muchos sistemas de archivos no eliminan datos cuando se eliminan. En cambio, simplemente elimina el conocimiento de dónde es. Escanear bytes sin procesar y ponerlos en orden es el proceso básico de File Carving. Este proceso es realizado por examinar el encabezado (primeros bytes) y el pie de página (últimos bytes) de un archivo.

La talla de archivos es una excelente manera de recuperar archivos y fragmentos de archivos cuando el texto está dañado o falta. Los profesionales lo utilizan a menudo en la resolución de problemas para volver a examinar la evidencia. Un ejemplo de la prohibición y la capacidad de evacuar a los medios ocurrió cuando la información fue removida de los campamentos de Osama Bin Laden durante el ataque de la US Seals Navy. Los investigadores forenses utilizaron métodos de recuperación de archivos para recuperar datos de las unidades y sistemas utilizados en los campamentos.

Descripción general de los sistemas de archivos

A sistema de archivos is un tipo de base de datos que se utiliza para almacenar, actualizar y recuperar archivos o varios números de archivos. Es una forma en la que los archivos se archivan de forma lógica y se nombran para su archivado y recuperación. Hay diferentes tipos de sistemas de archivos que se mencionan a continuación:

Sistema de archivos de Windows: Microsoft Windows usa solo dos tipos de FAT y NTFS.

• GRASA, que significa 'tabla de asignación de archivos', es el tipo más simple de sistema de archivos que contiene un sector de arranque, una tabla de asignación de archivos y un espacio de almacenamiento simple para almacenar archivos y carpetas. Recientemente, FAT vino en FAT16, FAT12 y FAT32. FAT32 es compatible con dispositivos de almacenamiento basados ​​en Windows. Windows no puede crear un sistema de archivos FAT32 con un archivo de más de 32 GB.
• NTFS, abreviatura de "New Technology File System", ahora es un sistema de archivos predeterminado para archivos de más de 32 GB. El cifrado y el control de acceso son algunas de las principales propiedades de este sistema de archivos.

Sistema de archivos de Linux: Linux es un sistema operativo de código abierto ampliamente utilizado y fue desarrollado para pruebas y desarrollo. Este SO fue diseñado para utilizar diferentes conceptos de sistema de archivos. En Linux, existen varios tipos de sistemas de archivos.

• Ext2, Ext3, Ext4 - Este es el sistema de archivos de Linux local o predeterminado. El sistema de archivos raíz generalmente está limitado a toda la distribución de Linux. El sistema de archivos Ext3 es una excelente actualización del sistema de archivos Ext2 utilizado anteriormente; utiliza la operación de escritura de archivos transaccionales.  Ext4 es un archivo de extensión que admite información y atribución de archivos Ext3.
• ReiserFS - El problema del sistema de archivos se resuelve guardando muchos archivos pequeños a la vez. Hay una buena risa por parte del administrador de archivos, y el permiso del archivo compatible, el almacenamiento del código del archivo, el archivo contiene metadatos en el modo de no usar el sistema de archivos grande debido a su tamaño.
•  XFS - El sistema de archivos XFS funciona bien y se usa ampliamente para archivar archivos. Este tipo de sistema de archivos es popular en los servidores IRIX.
• JFS - IBM desarrolló este sistema de archivos y se ha convertido en un sistema de archivos que se utiliza en casi todas las distribuciones de Linux

sistema de archivos macOS: El sistema operativo Apple Macintosh utiliza solo el HFS + sistema de archivos sin la extensión del sistema de archivos HFS. MacOS, iPhones, iPads y todos los demás productos de Apple utilizan la HFS + sistema de archivos. Algunos productos de Apple Server utilizan el sistema de archivos Hscan. Este reconocido sistema de archivos realiza un seguimiento de la información relacionada con la vista de directorios, la ubicación de Windows, etc.

Técnicas de tallado de archivos

Durante la investigación digital, es necesario analizar los diferentes tipos de medios. La información aplicable se puede encontrar en varios dispositivos de almacenamiento y en la memoria de la PC. Se pueden desglosar varios tipos de información, por ejemplo, correo electrónico, informes electrónicos, registros del marco y registros de medios. La talla de archivos es una técnica de recuperación en la que solo se consideran el contenido y la estructura del archivo en lugar de los metadatos del archivo utilizados en la organización de los datos en el medio de almacenamiento.

A continuación se muestran algunas terminologías de talla de archivos para recordar:

• Cuadra - El tamaño más pequeño de unidades de datos que se pueden escribir en el almacenamiento
• Encabezamiento - El punto de partida del archivo.
• Pie de página - Los últimos bytes del archivo.
• Fragmento - Uno o varios bloques pertenecen a un solo archivo.
• Fragmento de base - Primer fragmento del contenedor de archivos, el encabezado del archivo.
• Punto de fragmentación - El último bloque justo antes de que se produzca la fragmentación. Múltiples fragmentos en cualquier archivo dan como resultado varios puntos de fragmentación.

Las técnicas supremas de talla de archivos universales corporativos son las siguientes:

• Técnica de encabezado y pie de página (o encabezado: "tamaño máximo de archivo") - La estrategia básica aquí es tallar archivos según el título y la escritura a mano o archivos totales.

1. Archivos de extensión JPG o JPEG - “\ XFF \ xD8” y “\ xFF \ xD9."
2. GIF - titulado "\ x47 \ x49 \ x46 \ x38 \ x37 \ x61" y pie de página "\ x00 \ x3B".
3. PST: "! BDN ”encabezado sin pies de página.
4. Si el sistema de archivos no tiene una base, el número máximo de archivos usados ​​en el programa de talla.

• Tallado basado en la estructura de archivos

1. El diseño interno del archivo se utiliza como técnica básica.
2. El encabezado, el pie de página, las cadenas de identificación y la información de tamaño son elementos básicos.

• Tallado basado en contenido

La estructura del contenido es gratuita (MBOX, HTML, XML)

• Características del material

1. Contar personajes
2. Reconocimiento de texto / idioma
3. Lista de datos en blanco y negro
4. Entropía de la información
5. Características estadísticas (Chi²)

Tallar un archivo (sin usar ninguna herramienta)

A continuación, veremos cómo tallar un .archivo jpeg sin usar una herramienta. Primero, necesitamos conocer la estructura del .archivo jpeg (encabezado y pie de página, etc.). Para hacer esto, abriremos un .imagen jpeg en el Maleficio editor para examinar lo que el encabezado y pie de página del .archivo jpeg parece.

Aquí, encontramos el encabezado del archivo ( FFD8FFE0). Ahora, para encontrar el pie de página, examinaremos los últimos bytes del archivo.

Aquí, tenemos el pie de página del archivo o el tráiler (FFD9).

Si tiene un documento con una imagen, puede tallar la imagen conociendo su encabezado y pie de página.

Ahora, tenemos un archivo de Word con una imagen. Tallaremos la imagen usando esta técnica.

Lo primero que debemos hacer es abrir este documento de Word con el Maleficio editor haciendo clic en Archivo >> Abrir.

Aquí, podemos ver una figura que muestra los datos del archivo de Word en forma hexadecimal. Como ya sabemos, el .El archivo jpeg tiene un valor de encabezado de FFD8FFE0, por lo que buscaremos el encabezado del archivo presionando Ctrl + F o Buscar >> Archivo e ingresando el valor de encabezado conocido (seleccionar el tipo de datos de valor hexadecimal es muy importante en este paso).

Encontraremos un valor de firma en Offset 14FD.

A continuación, debemos buscar un pie de página o un tráiler. Sabemos que el .El archivo jpeg tiene un valor de pie de página de FFD9, por lo que buscaremos el pie de página del archivo presionando Ctrl + F o Buscar >> Archivo e ingresar el valor de pie de página conocido (seleccionar el tipo de datos de valor hexadecimal es muy importante.

Encontraremos un valor de pie de página en Offset 2ADB.

Actualmente tenemos el encabezado y el pie de página de un documento jpeg y, como dijimos recientemente, entre el encabezado y el pie de página está la información de un registro jpeg. Aquí duplicamos todo el cuadrado de información con encabezado y pie de página y lo almacenamos como otro archivo.

Ir EDITAR >> Seleccionar bloque e ingrese los dos términos siguientes:

Desplazamiento de encabezado de archivo: 14FD

Desplazamiento del pie de página del archivo:  2ADB

Después de ingresar estos valores, todo .El archivo jpeg se marcará en azul. Para guardarlo como un archivo dfile, cópielo haciendo clic derecho y seleccionando Dupdo, o presionando Ctrl + C. A continuación, pegaremos la información en un nuevo archivo. Aparecerá un cuadro de diálogo y haremos clic en OK. Ahora, estamos listos para guardar el archivo haciendo clic en Archivo >> Guardar como o presionando Ctrl + S. Si abre este archivo copiado, verá la misma imagen que estaba en el documento original. Esta es la técnica básica para grabar archivos multimedia.

Herramientas de talla de datos

Las herramientas de recuperación de datos juegan un papel importante en la mayoría de las investigaciones forenses, ya que los atacantes inteligentes siempre intentan borrar la evidencia de sus delitos. A continuación se enumeran algunas herramientas importantes de recuperación de datos en Linux y Ventanas.

• Foremost (herramienta de tallado de archivos)

Para recuperar archivos perdidos debido a sus estructuras de datos, encabezados y pies de página internos, principal, puede ser usado. Foremost generalmente toma la entrada en varios formatos de imagen, como AFF o formatos sin procesar, que se pueden generar utilizando una variedad de herramientas, como FTK Imager, DD, encase, etc.  Puede navegar a la página de ayuda de foremost para aprender y explorar sus poderosos comandos usando el siguiente comando:

[protegido por correo electrónico]: ~ $ foremost -h Recuperar archivos de una imagen de disco según los tipos de archivo especificados por el
usuario que usa el interruptor -t.
jpg Soporte para los formatos JFIF y Exif, incluidas implementaciones
utilizado en cámaras digitales modernas.
gif
png
bmp Soporte para formato bmp de windows.
avi
exe El soporte para binarios de Windows PE extraerá archivos DLL y EXE
junto con sus tiempos de compilación.
mpg Soporte para la mayoría de archivos MPEG (debe comenzar con 0x000001BA)
wav
riff Esto extraerá AVI y RIFF ya que usan el mismo archivo para
estera (RIFF). nota más rápido que ejecutar cada uno por separado.
wmv Note también puede extraer archivos wma ya que tienen un formato similar.
ole Esto tomará cualquier archivo usando la estructura de archivos OLE. Esto
incluye PowerPoint, Word, Excel, Access y StarWriter
doc Tenga en cuenta que es más eficiente ejecutar OLE a medida que obtiene más
tu dinero. Si desea ignorar todos los demás archivos ole, utilice
esto.
zip Tenga en cuenta que se extraerá .jar también porque usan un archivo similar
formato. Los documentos de Open Office son solo archivos XML comprimidos, por lo que
también se extraen. Estos incluyen SXW, SXC, SXI y SX? por
archivos OpenOffice indeterminados. Los archivos de Office 2007 también son XML
basado (PPTX, DOCX, XLSX)
rar
htm
detección de código fuente cpp C, tenga en cuenta que esto es primitivo y puede generar
documentos distintos al código C.
mp4 Soporte para archivos MP4.
all Ejecuta todos los métodos de extracción predefinidos. [Predeterminado si no -t es
especificado]

• BinWalk

BinWalk se utiliza para administrar bibliotecas binarias y extraer datos importantes de imágenes de firmware. Esta herramienta es ideal para quienes saben cómo usarla. BinWalk se considera una de las mejores herramientas disponibles para la ingeniería inversa y la extracción de imágenes de firmware. BinWalk es fácil de usar y viene con enormes capacidades. Puede navegar a la página de ayuda de binwalk para obtener más información usando el siguiente comando:

[correo electrónico protegido]: ~ $ binwalk --help Opciones de escaneo de firmas:
-B, --signature Escanea los archivos de destino para las firmas de archivos comunes
-R, --raw = Escanear archivos de destino para la secuencia de bytes especificada
-A, --opcodes Escanea los archivos de destino en busca de firmas de códigos de operación ejecutables comunes
-m, --magic = Especifica un archivo mágico personalizado para usar
-b, --dumb Deshabilitar las palabras clave de firma inteligente
-I, --invalid Mostrar resultados marcados como inválidos
-x, --exclude = Excluir resultados que coincidan
-y, --include = Mostrar solo resultados que coincidan
Opciones de extracción:
-e, --extract Extrae automáticamente tipos de archivos conocidos
-D, --dd = Extraer firmas, dar a los archivos una extensión de y ejecutar
-M, --matryoshka Escanea recursivamente archivos extraídos
-d, --depth = Limitar la profundidad de recursividad de matryoshka (predeterminado: 8 niveles de profundidad)
-C, --directory = Extraer archivos / carpetas a un directorio personalizado (predeterminado: directorio de trabajo actual)
-j, --size = Limita el tamaño de cada archivo extraído
-n, --count = Limitar el número de archivos extraídos
-r, --rm Eliminar archivos tallados después de la extracción
-z, --carve Graba datos de archivos, pero no ejecuta utilidades de extracción
Opciones de análisis de entropía:
-E, --entropy Calcular la entropía del archivo
-F, --fast Utilice un análisis de entropía más rápido, pero menos detallado
-J, - guardar Guardar gráfico como PNG
-Q, --nlegend Omite la leyenda del gráfico de la trama de entropía
-N, --nplot No genera un gráfico de gráfico de entropía
-H, --high = Establece el umbral de activación de la entropía del borde ascendente (predeterminado: 0.95)
-L, --low = Establece el umbral de activación de la entropía del borde descendente (predeterminado: 0.85)
Opciones de diferenciación binaria:
-W, --hexdump Realiza un hexdump / diff de un archivo o archivos
-G, --green Solo muestra líneas que contienen bytes que son iguales entre todos los archivos
-i, --red Solo muestra las líneas que contienen bytes que son diferentes entre todos los archivos
-U, --blue Solo muestra líneas que contienen bytes que son diferentes entre algunos archivos
-w, --terse Diferencia todos los archivos, pero solo muestra un volcado hexadecimal del primer archivo
Opciones de compresión sin procesar:
-X, --deflate Scan para flujos de compresión de desinflado sin procesar
-Z, --lzma Scan para flujos de compresión LZMA sin procesar
-P, --parcial Realice una exploración superficial, pero más rápida
-S, --stop Deténgase después del primer resultado
Opciones generales:
-l, --length = Número de bytes para escanear
-o, --offset = Iniciar escaneo en este desplazamiento de archivo
-O, --base = Agregar una dirección base a todas las compensaciones impresas
-K, --block = Establecer tamaño de bloque de archivo
-g, --swap = Invierta cada n bytes antes de escanear
-f, --log = Registrar resultados en archivo
-c, --csv Registra los resultados en un archivo en formato CSV
-t, --term Formatea la salida para que se ajuste a la ventana del terminal
-q, --quiet Suprime la salida a stdout
-v, --verbose Habilita la salida detallada
-h, --help Muestra la salida de ayuda
-a, --finclude = Solo escanear archivos cuyos nombres coincidan con esta expresión regular
-p, --fexclude = No escanear archivos cuyos nombres coincidan con esta expresión regular
-s, --status = Habilita el servidor de estado en el puerto especificado

Recuperación de datos de discos formateados

Las herramientas de recuperación de datos deben seleccionarse cuidadosamente para recuperar información de discos formateados, unidades flash USB y tarjetas de memoria. Las herramientas diseñadas para completar diversas actividades pueden producir resultados inesperados. A continuación, veremos algunas de las diferencias entre varias herramientas de recuperación de datos para la corrección de datos en unidades formateadas.

Desformatear

El primer error fatal que cometen muchos usuarios de computadoras al formatear accidentalmente sus unidades es buscar, instalar y usar herramientas "sin formato". Hay muchas de estas herramientas en el mercado; algunos son comerciales y otros son productos gratuitos. El propósito de estas herramientas es reconstruir o recrear el disco preformateado restaurando el sistema de archivos.

Si bien esto puede parecer un enfoque viable para los inexpertos, podría terminar siendo un error mayor que perder los archivos en primer lugar. Formatear el disco vacía el sistema de archivos original, reemplazándolo al menos en parte, generalmente al principio. Cuando intenta restaurar su antiguo sistema de archivos, lo mejor que puede obtener es un disco que sea legible con algunos de sus archivos. Todo no se puede recuperar exactamente como estaba de esta manera, y los archivos más valiosos pueden verse comprometidos, con solo muestras aleatorias de los archivos originales en el disco. Cuando piense en "formatear" una unidad del sistema, olvídelo; al menos algunos archivos del sistema desaparecerán. Incluso si puede arrancar el sistema operativo, nunca obtendrá un sistema estable.

Recuperar

El segundo error que cometerán muchos usuarios de computadoras es utilizar herramientas de recuperación. Aunque estas herramientas existen y tienden a hacer su trabajo de buena fe, no están diseñadas para manejar discos con un sistema de archivos excluido. Incluso con algunas de las mejores herramientas de recuperación, como RS File Recovery, puede eliminar varios archivos, pero eso es todo.

Recuperación de la partición

Para recuperar archivos, debe buscar una herramienta de recuperación de particiones como RS Partition Recovery. Diseñada para manejar discos distribuidos, formateados y dañados, esta herramienta puede escanear toda la superficie de un disco o partición para recuperar todo lo que pueda encontrar. Incluso si el sistema de archivos está vacío o eliminado, esta herramienta puede recuperar muchos tipos de archivos, como documentos, imágenes y videos, a través de su función de firma. Sin embargo, aunque las herramientas de recuperación segmentadas son de primera categoría para la recuperación de datos, suelen ser bastante caras. Si solo desea recuperar un disco formateado, puede ser útil buscar y guardar en su lugar.

Recuperación de FAT y NTFS

Puede ahorrar hasta un 40% en el costo de la recuperación de Partition RS eligiendo una herramienta que solo recupere discos con formato FAT o NTFS. Recuerde que deberá comprar una herramienta que sea adecuada para el sistema de archivos original y no la escrita arriba. Si la unidad original es NTFS, obtenga NTFS Recovery RS. Si es FAT o FAT32, obtenga FAT Recovery RS. De esta manera, obtendrá las mismas herramientas de calidad, pero estará limitado al formato FAT o NTFS. Esta es la elección perfecta para un trabajo único.

Carving Files (usando una herramienta)

PhotoRec es un software increíble que se usa para tallar archivos y especialmente archivos jpeg o de imagen (por eso se llama Photo Recovery). PhotoRec pasa por alto el marco del documento y busca la información básica, por lo que funcionará independientemente de si el marco de registro de su medio se ha dañado o reformateado. Photorec es de fácil acceso en los sistemas operativos Windows.

Como ejemplo, recuperaremos archivos de imagen de una unidad flash de 8 GB usando esta herramienta.

Primero, ejecute el PhotoRec.exe archivar y ejecutar la aplicación. Veremos una pantalla como esta:

Aquí, tenemos todas las particiones mostrando. Nosotros seleccionaremos / K como nuestro objetivo deseado del cual recuperar datos.

Podemos ver qué sistema de archivos está usando esta partición aquí, y hay cuatro opciones en la parte inferior.

Buscar - Esto buscará la partición que contiene los archivos para su recuperación.
Opciones - Se utiliza para cambios menores en las opciones.
Opción de archivo - Se utiliza para modificar los tipos de archivos a recuperar.
Dejar - Sale del proceso.

Nosotros seleccionaremos Opción de archivo (Opciones de archivo):

Esto nos dará opciones para seleccionar los archivos que queremos recuperar de la partición deseada. Prensado S desmarcará todas las opciones. Nosotros seleccionaremos Imágenes JPG, ya que solo queremos recuperar archivos de imagen de la unidad. A continuación, presionaremos B.

Para seleccionar el Sistema de archivos, volver a las opciones principales y seleccionar Otro. En cuanto a las opciones de recuperación, tenemos dos opciones:

• recuperarse de la partición completa
• recuperación de solo espacio no asignado (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3, etc.). Con esta opción, solo se recuperarán los archivos que se hayan eliminado.

Ahora, todo lo que tenemos que hacer es establecer la ubicación donde se recuperarán los archivos eliminados. Después de eso, el proceso de recuperación comenzará y terminará después de tomarse un tiempo.  Luego, buscaremos los archivos recuperados en la ubicación establecida. Los archivos de imagen recuperados estarán allí.

Conclusión

Tallado de archivos es un término informático forense muy conocido para describir la identificación de tipos de archivos y su eliminación de grupos no subordinados mediante firmas de archivos. Una firma de archivo, también conocida como número mágico, es un valor de texto numérico o permanente que se utiliza para identificar el formato del archivo. Extracción de archivos o datos es un término utilizado en el campo de la informática forense. Un computarizado Investigación forense es una adquisición, verificación, análisis y documentación de evidencia contenida en un sistema informático, una red de computadoras u otras formas de medios digitales. La extracción de datos significativos a partir de datos brutos se denomina tallado.

Escultura de archivos es la identificación y recuperación de archivos basada en análisis de formato. En informática forense, la escultura es una forma útil de encontrar archivos ocultos o eliminados en medios digitales. Los archivos F se pueden ocultar en áreas como clústeres perdidos, clústeres no asignados y discos de reproducción o medios digitales. Para utilizar este método de extracción, un archivo debe tener una firma estándar, llamada encabezado del archivo, al principio del archivo. Para obtener el encabezado del archivo, la herramienta de recuperación continuará consultando hasta que llegue al pie de página del archivo al final del archivo. Los datos entre el encabezado y el pie de página se extraen y analizan para garantizar la integridad. Se utilizan varios métodos de escultura en sus algoritmos, dependiendo del tipo de archivo.

Los sistemas operativos modernos no eliminan por completo los archivos eliminados sin el permiso del usuario. Los archivos eliminados se pueden recuperar a través de varias herramientas y tácticas forenses si los archivos eliminados no se agregan a otro archivo. Los archivos dañados se pueden recuperar si los datos no están dañados más allá del reconocimiento.

Hay mucha diferencia entre la recuperación de archivos y la talla de archivos. La recuperación de archivos utiliza información del sistema de archivos; Al utilizar esta información, se pueden recuperar varios archivos. Si la información es incorrecta, no funcionará. Con el advenimiento de la talla de archivos, las fuerzas del orden, los profesionales de la tecnología y los profesionales forenses han encontrado otra herramienta que se puede utilizar para recuperar datos eliminados. Si bien no siempre es perfecto y refinado, herramientas como Ante todo, bisturí, y Photorec han hecho que la recreación de archivos sea más fácil que nunca.